Ataque de ransomware: por qué una pequeña empresa pagó el rescate de $ 150,000


El director financiero de una pequeña empresa que fue víctima de un ataque de ransomware y revela por qué pagaron el rescate (en Bitcoin) para recuperar el manage de sus sistemas.

Karen Roby de TechRepublic habló con el director financiero de una pequeña empresa en Kentucky que fue víctima de un ataque de ransomware. La siguiente es una transcripción editada de su conversación.

VER: Conciencia de seguridad y política de capacitación (TechRepublic Quality)

Karen Roby: Los ataques de ransomware están en aumento, y más empresas están optando por pagarles a los delincuentes. Entrevistamos al director financiero de una pequeña empresa que fue víctima de un ataque de ransomware, y nos referiremos a él solo por su primer nombre. Su compañía decidió no involucrar a las autoridades dado el valor que estaba en juego, y la necesidad inmediata de la compañía de recuperar el management de su pink. Esperamos que su cuenta de primera mano lo ayude a comprender mejor cómo son estos tipos de ataques de ransomware y le dé una idea de cómo proteger mejor su propia organización.

Jason: Definitivamente ha sido una nueva experiencia para una pequeña empresa como la nuestra. Somos solo ocho Computer system en un edificio que nunca pensaron que algo como esto sería posible, pero nos enteramos tarde un sábado por la noche, mi compañera de trabajo recibió un correo electrónico que decía: «Hey, estás bajo ataque», y ella no No creo que oliera bien. Su esposo también está en TI, así que lo enviamos a nuestro contacto en TI, una empresa que utilizamos, y él dijo: «Sí, esto es muy authentic». E inmediatamente su corazón se hunde porque son las 10:30 de un sábado por la noche y dice: «Disculpe, ¿qué? Estamos bajo ataque, ¿de qué está hablando?»

Simplemente impensable. Pero administraríamos nuestros canales con nuestra compañía de seguros e inmediatamente echamos un vistazo y, efectivamente, todas las Computer system fueron bloqueadas con una nota de rescate en algunas de ellas.

Karen Roby: Entonces, ¿qué decía la nota, específicamente, o cuáles eran las demandas?

Jason: Todo lo que realmente dijo en la pantalla de bloqueo inicial es, básicamente, no intente activar su computadora, lo tenemos bajo handle. Póngase en contacto con nosotros y hubo un número, que fue interesante. Entonces, sabíamos que algo estaba muy mal en ese momento. Nuestro contacto de TI dijo: «Estos tipos son muy reales. Necesitamos involucrar a su compañía de seguros y obtener una estrategia antes de siquiera pensar en tratar de hablar con estos tipos porque queremos asegurarnos de tener a todos nuestros patos en fila porque tenemos que hacer esto bien la primera vez «. Aparentemente, muchas veces, como aprendimos a través de este proceso, no siempre te dan una segunda mordida en la manzana, por lo que debes asegurarte de pedir todo de una vez.

Karen Roby: Hablen un poco sobre lo que sucedió una vez que la compañía de seguros se involucró, y ¿alertaron a las autoridades?

Jason: Bueno, lo primero en lo que pensamos es que al menos nos alegramos de no ser un tipo de situación propia, atención médica, cosas por el estilo en las que la información own de las personas, propiedad, diseños, and so on., cosas así podrían salir y posiblemente dañar a las personas, que es lo primero que nos mencionaron, como usted dijo, el tercero con el que hablamos que actuaba como nuestro agente entre nosotros y los piratas informáticos. Dijeron: «Esto es extraño. Realmente no tienes nada que puedan guardar sobre tu cabeza que no sea simplemente detener tu negocio». Pero los contratamos rápidamente. Irónicamente, trabajaron directamente un domingo para ayudarnos y para el lunes por la mañana estábamos totalmente de acuerdo, y comenzaron la conversación con el grupo de hackers para ver qué podíamos hacer.

VER: VPN: selección de un proveedor y consejos para la solución de problemas (PDF gratuito) (TechRepublic)

Y esa es la cuestión: por primera vez, te miras a ti mismo y dices: «Wow, dependemos totalmente de nuestros sistemas». Afortunadamente, nuestra maquinaria en la planta no está conectada a nuestra crimson, pero todos los procesos que usa para decirle a esa máquina cómo funcionan ahora son una pantalla negra y no puede hacer nada, y descubre rápidamente que 25 hombres y las mujeres en la planta que están acostumbradas a ser muy buenas en sus trabajos son retenidas, sin capacidad de hacer su trabajo porque ni siquiera recuerdan cómo hacerlo sin esa computadora. Y sí, en ese momento simplemente dimos vueltas y dijimos: «¿No se trata de pagarles? ¿Se trata de cómo les pagamos?» Porque si no les pagamos, no tenemos forma de salir de esto, y el negocio simplemente se detiene, por lo que es una situación bastante aterradora.

Karen Roby: Cuando llegó el momento, Jason, ¿cuánto tuvieron que pagarles para recuperar el command de sus sistemas?

Jason: Dolorosamente, $ 150,000. Su demanda inicial fue de $ 400,000. Y por lo que nos dijeron, este grupo rara vez ataca a las pequeñas empresas porque sus demandas iniciales generalmente están en el rango de $ 1 millón a $ 10 millones. Entonces, venir detrás de nosotros o por la mitad de su cantidad regular que normalmente solicitan solo aumenta el hecho de, ¿por qué nosotros?

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

Karen Roby: ¿Aprendiste alguna información sobre los criminales detrás de esto?

Jason: Simplemente dijeron que están muy familiarizados con ellos, por muy triste que parezca, y lo interesante que señalaron fue que tuvo suerte porque este es un grupo que siempre lo hace. Si les paga, le devuelven su información. Entonces, si vas a ser hackeado, al menos te hackeó este grupo, lo que, por triste que parezca, ahora estábamos un poco extrañamente agradecidos por eso. Pero solo en sus tratos con este grupo y supongo que a través de los procesos, miran cosas así, creen en Europa del Este tal como están actuando, en la medida en que pueden rastrear el dinero y luego desaparece, obviamente, pero cree en Europa del Este.

Karen Roby: El rescate se pagó a través de Bitcoin, ¿correcto?

Jason: Derecha. El tercero que contratamos para administrar el rescate, debido a los desafíos de obtener a veces el Bitcoin en ese tipo de volumen, mantienen una cantidad sustancial de eso en sus recursos. Manejaron todo ese proceso para nosotros, obviamente, eso podría ser un desafío si no eres consciente de cómo hacerlo y, obviamente, 32 personas en Kentucky generalmente no saben cómo hacerlo cuando estamos acostumbrados a la fabricación, por lo que Estábamos muy agradecidos de que estuvieran cerca.

Karen Roby: ¡Creo que una de las cosas realmente locas de esto es que los delincuentes realmente le ofrecieron un número 1-800 para llamar si tenía problemas para recuperar sus archivos una vez que pagó el rescate!

Jason: Si. Quiero decir, si algo me ha hecho reír acerca de toda esta situación es que es solo la moralidad selectiva de «Oye, sabemos que te hemos robado dinero y tus archivos y te hemos mantenido a nuestro antojo, pero por cierto, nosotros estamos aquí para ayudar al 1-800 … » Es increíble.

Karen Roby: En la mayoría de los casos de ransomware, parece que un empleado en el camino hizo clic en un enlace que permitía la entrada de los piratas informáticos.

Jason: Eso es lo que han señalado en nuestro caso es que dijeron: «Mire, para una pequeña empresa de su tamaño, sus sistemas eran buenos y he aquí un puñado de actualizaciones que quizás desee considerar, pero es probable que alguien en su oficina simplemente haga clic en un correo electrónico «. Y, desafortunadamente, puede enviarlo semanalmente si lo desea, para decir: «Chicos, recuerden no hacerlo, pero siempre existe esa oportunidad, y algo simplemente parece real, y un clic y listo».

Ver también

20200519-ransom-karen.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/05/21/4262cbe5-a8e2-4c1d-a2a9-8f33831dc9ff/resize/770x/de442a9a967f31cb337c44f4/20875 -ransom-karen.jpg

Karen Roby de TechRepublic habla con el director financiero de una pequeña empresa en Kentucky que fue atacada con ransomware.

Imagen: Mackenzie Burke



Enlace a la noticia authentic